"Kein direkter Zugriff auf lokales Netzwerk" konfiguriert mit Geteilttunnel

"Kein direkter Zugriff auf lokales Netzwerk" konfiguriert mit Geteilttunnel

46244
Created On 04/01/21 21:54 PM - Last Modified 03/14/25 21:16 PM


Symptom


Bei der Konfiguration"Kein direkter Zugriff auf das lokale Netzwerk" gleichzeitig mit dem geteilten Tunnel wird der Datenverkehr für die ausgeschlossenen Listen von der physischen Schnittstelle und nicht vom GlobalProtect Tunnel geleitet. 

 

Environment


 
  • GlobalProtect 5.0.2+
  • Windows OS und MacOS
  • Split-Tunnel-Konfiguration
  • Any PAN-OS

Resolution


 NOTE: In allen unten gezeigten Fallszenarien lautet die adresse des physischen Adapters IP '172.16.0.11' und die GlobalProtect IP Adresse '192.168.1.3'.
 
1."Kein direkter Zugang zum lokalen Netz" mit ausgeschlossenen Routen konfiguriert.

ausgeschlossene Routen
 
  • Die Routingtabelle zeigt die ausgeschlossenen Routen, die auf die physische Schnittstelle mit einer Routenmetrik'6' verweisen, und aufgrund der Tatsache, dass ausgeschlossene Routen bestimmte Routen sind, haben sie eine höhere Priorität als die Standardroute, daher wird der zu diesen Adressen bestimmte Datenverkehr IP den physischen Adapter austreten.

Benutzeriertes Bild
 
  • Paketerfassung sowohl für die physische als auch für die GlobalProtect virtuelle Schnittstelle. Der Datenverkehr, der auf 216.58.213.14 bestimmt ist, wird von der physischen Schnittstelle IP 172.16.0.11 verwendet, was das erwartete Verhalten ist.
Benutzeriertes Bild

 

2. "Kein direkter Zugriff auf das lokale Netzwerk", der mit dem ausgeschlossenen Domänen- und/oder Anwendungsprozessnamen konfiguriert ist.

Benutzeriertes Bild

 
  • Die Routingtabelle verfügt über eine Standardroute der Metrik'1', die auf die GlobalProtect Tunnelschnittstelle verweist.
Benutzeriertes Bild

 
  • Das bild untere Abbildung veranschaulicht die DNS Abfrage und Antwort für die ausgeschlossene Domäne 'facebook.com'.
Benutzeriertes Bild
 
  • PanGPS.log zeigt an, dass 'facebook.com' mit der ausgeschlossenen Domänenliste übereinstimmt und daher datenverkehrsbestimmt für 31.13.88.35 an den physischen Adapter 172.16.0.11 gebunden ist.
(P1552-T4440)Dump (  91): 04/01/21 08:13:26:672 Received DNS request for facebook.com with type 1
(P1552-T4440)Dump (1429): 04/01/21 08:13:26:672 Domain name facebook.com matches exclude wildcard domain
(P1552-T4440)Dump ( 793): 04/01/21 08:13:26:672 SP added an exclude ip 31.13.88.35, port 0, ttl 300 for domain facebook.com, original ttl=300, infinite ttl=no
(P1552-T4440)Dump ( 847): 04/01/21 08:13:26:672 call SPSetParameters to set 1 exclude IPs
(P1552-T4440)Dump ( 275): 04/01/21 08:13:26:672 iTimeOut=300
(P1552-T4440)Dump (1357): 04/01/21 08:13:26:672 ST,argc=6, remote-bind 
(P1552-T4440)Dump (2694): 04/01/21 08:13:26:672 ST,shouldCacheCommand return false 
(P1552-T4440)Dump (1938): 04/01/21 08:13:26:672 ST,remote ip address is 31.13.88.35, port=0, bind local address is 172.16.0.11
 
  • Die DNS Abfrage und Antwort für die ausgeschlossene Anwendung 'zoom.us'.
Benutzeriertes Bild
 
  • Die Paketerfassung zeigt, dass der Datenverkehr für die Anwendung 'zoom.us' für 52.202.62.250 von der physischen Schnittstelle aus verwendet wird.
Benutzeriertes Bild
 
  • Beachten Sie, dass dies das erwartete Verhalten ist, optimiertes Split-Tunneling (d. h. Domäne, Anwendung, Videoanwendungs-basiertes Split-Tunneling) basiert auf filtertreiber, der nicht von der Routingtabelle abhängt, daher sollte'Kein direkter Zugriff auf das lokale Netzwerk' keine Auswirkungen auf diese Funktion haben.

Additional Information


 
  • Die Funktion"Kein direkter Zugriff auf das lokale Netzwerk" GlobalProtect wird verwendet, um ausgehende Verbindungen vom Endpunkt zum lokalen Subnetz mithilfe des physischen Netzwerkadapters zu blockieren, wenn eine GlobalProtect Tunnelverbindung hergestellt wurde.
  • GlobalProtect Anwendung blockiert keine eingehenden Verbindungen.
  • Unter Windows OS , wenn'Kein direkter Zugriff auf das lokale Netzwerk' aktiviert ist und der Domänen-/Anwendungsteilungstunnel nicht konfiguriert ist, aktiviert der GlobalProtect Client "schwach-Host-Senden" auf dem physischen Adapter (Windows-Funktion), wodurch das Antwortpaket für den eingehenden Datenverkehr durch den Tunnel geleitet werden kann und daher die Verbindung nicht hergestellt werden kann.
  • MacOS hat keine solche Funktion wie Windows OS eingehende Verbindungen wird daher funktionieren.
  • Wenn eingehende Verbindungen blockiert werden müssen, empfiehlt es sich, das systemeigene Systemamauf dem OS firewall Endpunkt oder einem anderen Endpunktprodukt zu firewall verwenden.
  • Weitere Informationen zum Verkehrsverhalten finden Sie im folgenden Link, je nachdem, ob Sie den direkten Zugriff auf lokale Netzwerke aktivieren oder deaktivieren.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001V2dCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language